Nginx 对上游使用SSL链接
L96
双向认证SSL指令示列
对下游使用证书指令
Syntax: | ssl_certificate |
---|---|
Default: | — |
Context: | http , server |
Syntax: | ssl_certificate_key |
---|---|
Default: | — |
Context: | http , server |
代码示列 首先需要将 ngx_http_ssl_module编译进nginx 一般证书可以动态生成 详见 SSL证书生成方式
listen ssl; # managed by Certbot ssl_certificate /etc/letsencrypt/live/shoppas.com.cn/fullchain.pem; # managed by Certbot ssl_certificate_key /etc/letsencrypt/live/shoppas.com.cn/privkey.pem; # managed by Certbot include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot
如何验证下游证书
Syntax: | ssl_client_certificate |
---|---|
Default: | — |
Context: | http , server |
Syntax: | ssl_verify_client |
---|---|
Default: |
ssl_verify_client off; |
Context: | http , server |
如何对上游使用证书 如果需要链接上游 可以在location设置独立的证书
Syntax: | proxy_ssl_certificate |
---|---|
Default: | — |
Context: | http , server , location |
Syntax: | proxy_ssl_certificate_key |
---|---|
Default: | — |
Context: | http , server , location |
如何验证上游的证书
Syntax: | proxy_ssl_trusted_certificate |
---|---|
Default: | — |
Context: | http , server , location |
Syntax: | proxy_ssl_verify |
---|---|
Default: |
proxy_ssl_verify off;
|
Context: | http , server , location |
SSL模块提供的变量
- ssl_cipher : 本次通讯选用的安全套件
- ssl_ciphers : 客户端支持的所有安全套件
- ssl_protocal : 本次通讯选用的 TLS 版本
- ssl_curves:客户端支持的椭圆曲线
证书
- ssl_client_raw_cert: 原始客户端证书内容
- ssl_client_escaped_cert:返回客户端证书做urlencode编码后的内容
- ssl_client_cert:对客户端证书每一行内容前加tab制表符空白,增强可读性
- ssl_client_fingerprint:客户端证书的SHA1指纹
证书结构化信息
- ssl_server_name 通过TLS插件SNI获取到服务域名
- ssl_client_i_dn 依据RFC2253获取到证书issuer nd信息 如: CN=...,O=...,L=...,C=..,
- ssl_client_i_dn_legacy 依据RFC2253获取到证书issuer nd信息 如: /CN=.../O=.../L=.../C=...
- ssl_client_s_dn 依据RFC2253获取到证书subject dn信息
- ssl_client_s_dn_legacy 依据RFC2253获取到证书subject dn信息 格式不一样而已
证书有效期
- ssl_client_v_end 返回客户端正式的过期时间
- ssl_client_v_ramain 返回还有多少天客户端证书过期
- ssl_client_v_start 客户端证书颁发时间
链接有效性
ssl_client_serial 返回连接上客户端证书的序列号
ssl_early_data 在TLS1.3协议中使用early data且握手未完成返回1 否则返回空字符串
ssl_client_verify 如果验证失败为FAILED原因 如果没有验证证书则为NONE 验证成功为SUCCESS
ssl_session_id 已经建立连接的sessionId
ssl_session_reused 如果session被复用 则为r 否则为.
创建证书示列
创建根证书
创建CA私钥命令 : openssl genrsa -out ca.key 2048
创建CA公钥 :openssl req -new -x509 -days 3650 -key ca.key -out ca.crt //后面可能让输入很多选项 比如国家 城市 等
签发证书
创建私钥
openssl genrsa -out a.pem 1024 //创建证书a
openssl rsa -in a.pem -out a.key //创建a证书的公钥
生成签发请求
openssl req -new -key a.pem -out a.csr //针对a证书做签发
使用CA证书进行签发
openssl x509 -req -sha256 -in a.csr -CA ca.crt -CAKey ca.key -CAcreateserial -days 3650 -out a.crt //使用ca证书来签发a证书
验证签发证书是否正确
openssl verify -CAfile ca.crt a.crt
Nginx 对上游使用SSL链接的更多相关文章
- Ubuntu Nginx下配置网站ssl实现https访问
最近在看 HTTP权威指南 看到介绍了HTTPS的ssl,自己就动手测试了下,将步骤记录下 HTTPS简介 什么是HTTPS?百科是这样解释的.HTTPS(全称:Hyper Text Trans ...
- Nginx集群之SSL证书的WebApi微服务
目录 1 大概思路... 1 2 Nginx集群之SSL证书的WebApi微服务... 1 3 HTTP与HTTPS(SSL协议)... 1 4 Ope ...
- Nginx集群之SSL证书的WebApi身份验证
目录 1 大概思路... 1 2 Nginx集群之SSL证书的WebApi身份验证... 1 3 AuthorizeAttribute类... 2 4 ...
- Nginx集群之SSL证书的WebApi令牌验证
目录 1 大概思路... 1 2 Nginx集群之SSL证书的WebApi令牌验证... 1 3 Openssl生成SSL证书... 2 4 编写.NE ...
- Linux下Nginx配置阿里云 SSL证书实现HTTPS访问
这篇文章主要介绍了nginx配置ssl证书实现https访问的示例 1.服务器系统:Centos 2. 阿里云申请SSL证书 选择“免费版DV SSL”,点击立即购买: 下载证书 列表中找到已签发的证 ...
- nginx:[emerg]unknown directive "ssl"
nginx: [emerg] unknown directive "ssl" in /usr/local/nginx/conf/nginx.conf:102 到解压的nginx目录 ...
- Nginx 接受上游缓存流程
L:101 这个指令主要是由上游服务器来决定是否缓存 详见博客Nginx 针对上游服务器缓存
- Nginx 当上游服务器返回失败时的处理办法
陶辉95课 Syntax: proxy_next_upstream error | timeout | invalid_header | http_500 | http_502 | http_503 ...
- Linux 搭建Nginx并添加配置 SSL 证书
1. 安装准备 1.1 gcc安装 安装 nginx 需要先将官网下载的源码进行编译,编译依赖 gcc 环境,如果没有 gcc 环境,则需要安装: [root@nginx ~]# yum -y i ...
随机推荐
- Oracle 取前几条记录
今天看了篇文章,对oracle取前几条数据的方式和说明,总结比较全,学习了,做个记录点.oracle 取前10条记录 以下内容是原始文章内容,用于做留存阅读. 1.oracle 取前10条记录 1) ...
- ADO.NET 中可以发送包含多个SQL语句的批处理脚本到SQL Server,但是用MySQL的ODBC驱动不行
众所周知,我们在ADO.NET中可以使用NuGet包System.Data.SqlClient来操作SQL Server,并且ADO.NET是支持向SQL Server发送包含多个SQL语句的批处理脚 ...
- javaweb 项目启动问题:Application Server was not connected before run configuration stop, reason: javax.manage
参考:https://blog.csdn.net/whm18322394724/article/details/80290187 换成本机的jre就行了(路径要正确,特别是项目迁移的时候有时候用环境变 ...
- Java过滤掉字符串中的html标签、style标签、script标签
使用正则表达式 import java.util.regex.Matcher; import java.util.regex.Pattern; public class HTMLSpirit{ pub ...
- DIY——自制吸烟仪
起因: 计划开始学电路相关知识,学习过程肯定离不开电烙铁,毕竟是在家弄,烟雾味道太大而且有毒.去某宝上搜一搜,一个吸烟仪动辄就得80 90米,就一个风扇一根管子一个壳子这个价格太贵了. 正好之前主机上 ...
- 朱晔的互联网架构实践心得S1E5:不断耕耘的基础中间件
朱晔的互联网架构实践心得S1E5:不断耕耘的基础中间件 [下载本文PDF进行阅读] 一般而言中间件和框架的区别是,中间件是独立运行的用于处理某项专门业务的CS程序,会有配套的客户端和服务端,框架虽然也 ...
- CSS Modules入门教程
为什么引入CSS Modules 或者可以这么说,CSS Modules为我们解决了什么痛点.针对以往我写网页样式的经验,具体来说可以归纳为以下几点: 全局样式冲突 过程是这样的:你现在有两个模块,分 ...
- eclipse 常用配置
一.内置tomcat配置 解决eclipse 内置tomcat 与本地tomcat 端口冲突 传送门:http://www.cnblogs.com/tweet/p/7568979.html 二.字体设 ...
- Flask发送邮件
参考:官方文档:https://pythonhosted.org/Flask-Mail/ 1.安装插件 Flask-Mail (pip install Flask-Mail) 2.配置 Flask- ...
- H5 id选择器
09-id选择器 迟到毁一生 早退穷三代 按时上下班 必成高富帅 <!DOCTYPE html> <html lang="en"> <head> ...